Stalkerware y vigilancia digital dirigida: qué es y cuáles son las estrategias para cuidarnos en manada - titulo del Círculo Feminista de Aprendizaje. El fondo es negro y un grupo de mujeres, sus siluetas dibujados en diferentes colores, están reunidas en un circulo, líneas verdes de conversación salen de sus bocas y crean un nube de verde arriba de sus cabezas.  Imagen por: Laura Ibáñez López

Author

Florencia Goldsman

“Esta violencia es interseccional y puede estar acompañada de otras. Se puede seguir físicamente a la persona, perseguirla, o puede ser también el espionaje para amenazas posteriores. Todo se entrelaza. Es necesario tener una visión holística acerca de ese trabajo y hacer un análisis de riesgo que busque detectar las señales digitales u otras”, señala Marla de Interseclab en el Círculo de Aprendizaje Feminista: "Stalkerware y vigilancia digital dirigida: qué es y cuáles son las estrategias para cuidarnos en manada". Marla es una investigadora de seguridad digital de Brasil y fundadora/directora de InterSecLab, un laboratorio forense digital transfeminista para la sociedad civil con enfoque en América Latina.

En este espacio organizado por Dominemos la Tecnología, del que participaron unas 30 activistas, aprendimos conceptos relacionados con stalkerware, muchas veces conocido como “acecho” o “virus del acosador”. Como vimos, este tipo de ataques se caracteriza por la diversidad de su aparición (en diferentes apps, dispositivos, a través de la intervención humana o con la introducción de código en nuestros teléfonos) y lo dificultoso de su identificación, que muchas veces sucede cuando el problema ya está entre nosotres. 

Así lo ve Marla, quien coordinó el laboratorio de amenazas de MariaLab y trabajó como analista de seguridad digital en asociación con Access Now y CitizenLab en proyectos de respuesta a incidentes para apoyar a la sociedad civil en Brasil. También fue becaria en el Programa de Fellowship en Análisis Forense Digital del Amnesty International Security Lab: “Lo que quiero decir es que a veces digitalmente no vemos los trazos de este tipo de violencias, porque esas herramientas esconden todas sus razones de trazabilidad. Pero en ocasiones la relación con tu ex pareja puede mencionar cosas que no tenía cómo saberlas, hablarte en momentos inoportunos o abordarte directa y físicamente a través del soporte de información que él o ella obtuvo en la vigilancia digital”.
 

El stalkerware en primera persona

Durante el Círculo de Aprendizaje Feminista una de las primeras preguntas que saltó a la luz se relaciona con esos primeros indicios que nos llevan a creer que algo raro está sucediendo en nuestro teléfono. Pero ¡atención! Esas señales muchas veces están relacionadas no solo con componentes tecnológicos, sino también con el curso de nuestras relaciones en las que las manifestaciones sensibles como la falta de confianza, el uso de la mentira o la sospecha permanente sobre nuestras vidas, entre otras estratagemas emocionales, se ponen en juego.

“Generalmente cuando nos damos cuenta de que hay algo sospechoso, cuando nos sentimos amenazadaes, la primera cosa que queremos es hacer delete, borramos esta amenaza que está ahí en nuestro teléfono. Lo entiendo pero en esos casos no es lo recomendado como primera acción a realizarse. Lo que recomiendo es hacer un backup de ese dispositivo, hacer una copia del respaldo de tus datos. Porque si el atacante, el agresor, la fuerza del Estado tiene ya tus datos, y si tú no cuentas con un respaldo de eso, es una desventaja sin duda alguna” explica Marla.

“Entonces, después de que ellos (agresor, Estado) ya tienen esos datos, ya son suyos y ya los pueden usar y normalmente no hay nada que hacer. Porque si quieres hacer un delete de una aplicación extra, es la primera reacción. Pero diría ‘no lo hagas. Primero coloca tu celular en modo avión, desconecta de Internet para que no pueda enviar más datos y haz un backup de tu aparato, una copia de todo eso, una copia de seguridad de todos tus datos’ y entra en contacto con IntersecLab u otras organizaciones que realicen ese trabajo”. 

En el Círculo emergieron preguntas acerca de cómo saber qué puede ser considerado "normal" y qué no en el celular, cómo detectar un obstáculo que presenta mayor dificultad aparente. “Generalmente la identificación no es tan directa o simple, sobre todo cuando te pones a mirar procesos. A veces la respuesta para un ataque muy complejo es muy sencillo, simplemente es apagar tu celular si sospechas que está siendo monitoreado. Imagínate lo que debe ser importante para ti, lo que debe de ser protegido, no debe de ser dicho cerca de tu celular. Porque si está efectivamente intervenido, deberíamos crear un espacio seguro para evitar estas amenazas”.
 

Situando el contexto en el que crece el stalkerware

Como vimos en el artículo escrito por Anaís Córdova Páez, el fenómeno del acecho en internet es un tema amplio. En este caso, Marla también se ocupó de ampliar los sentidos de lo que conocemos como simplemente “stalkerware”. “Este fenómeno habla también de vigilancia dirigida, vigilancia masiva, que puede ser hecha por el Estado, puede tener objetivos patrimoniales, o ser patrocinada en contra de activistas, y generalmente es de uso exclusivo de las empresas. Entonces, el trabajo forense siempre tiene que estar aunado a la investigación para descubrir las herramientas que el país cuenta para estos casos e identificar cómo funcionan esas herramientas y su trazabilidad en el campo”.

Este es un problema que enfrentamos a diario. Por eso lograr reunirnos en un Círculo con activistas transfeministas de América Latina es una gran oportunidad. Como señala la facilitadora “Hay que discutir cómo hemos vivido esos ataques y cómo podemos hacer de aquí en adelante, porque no es sencillo, no es fácil, pero creo que la respuesta está en la defensa colectiva. Porque estamos hablando de lo que significa la vigilancia digital, que puede ser patrocinada por el Estado, o por empresas, o por individuos, como pueden ver, ex parejas, por ejemplo, o determinados grupos de odio. Y esto incluye el monitoreo de actividades online, recolección de datos y uso de tecnología para espiar, o realizar espionaje”.
 

¿Cómo funcionan los dispositivos alcanzados por stalkerware?

“Los stalkerwares son aplicaciones, generalmente, es importante decirlo que son apps. Es importante aclarar esto porque algunos spywares son sobre todo los de espionaje, no son apps, son totalmente binarios, pero es más difícil aún poder identificar su presencia. Pero en el caso al que nos dedicaremos aquí va a haber una aplicación y así será un poco más fácil identificar”.

En general el uso de estas apps se da en contextos de violencia doméstica para control y monitoreamiento sin el consentimiento de la víctima. Tanto en el ámbito doméstico, por ejemplo, de violencia doméstica dirigida hacia la pareja, por compañeres y ex compañeres y también vinculada con el control parental. En algunos casos, las personas toman ventajas de esas campañas que expresan “entérate de lo que tu hijo está haciendo para protegerlo”. También se venden como herramientas de monitoreo de personal desde una empresa, porque tienen diversos usos, pero “todos implican una estructura de poder” señala Marla.

En los casos que el IntersecLab investigó en Brasil, investigamos la app para stalkerware conocida como Web Detective. Esta app puede ser utilizada para grabar llamadas, audio, notificaciones, imágenes sin que la víctima se dé cuenta y por ser una tecnología vía web que es muy común, puede pasar totalmente desapercibida y dificultar su detección. Tiene un “keylogger” lo que permite registrar también todo aquello que se está digitando en el momento. Otras funciones son: puede espiar Instagram, WhatsApp, Facebook, también puede vigilar tu localización, grabar tu teléfono, todo lo que es escrito en también en tu historial de navegación, modificaciones realizadas, fotos, tus audios, la pantalla en vivo de tu teléfono, además de otras cosas. La instalación es solo para Android y la misma exige el acceso físico al dispositivo de la víctima.

InterSecLab también analizó la app Celular007, es una variante de stalkerware, cuya documentación completa está publicada aquí, y es distribuida como Soundy Apk, que es una extensión de aplicación de Android. “Cuando se baja la aplicación así se llama Soundy Apk, aparece como una aplicación de utilidad relacionada con el sonido, por ejemplo, pero la verdad es que está realizando vigilancia”.

Esta app tiene diversas formas para ocultarse, no solo para la persona que está siendo espiada sino también para dificultar el análisis forense. También pueden ocultar sus funcionalidades e inclusive fue complejo identificar hacia cuáles servidores envía los datos. Las principales funciones de esta app son: las del monitoreo de localización, rastreo en tiempo real, grabaciones de las llamadas, llamadas de audio, acceso a los mensajes se pueden leer y enviar copias de SMS para un servidor remoto, captura de pantalla y de la cámara con screenshots de la pantalla y la cámara, transmisión de datos y los datos recolectados son enviados para un servidor controlado por el agresor. El mecanismo de operación es un proceso de segundo plano que no está abierto en el aparato de la persona, no se ve, trabaja silenciosamente, es invisible para el usuario y hace comunicación con servidores remotos. Trabaja con WebRTC que es un sistema de comunicación directa, peer-to-peer, sin necesidad de servidores intermediarios. Conecta dos aparatos en tiempo real, en este contexto puede ser utilizada para enviar datos sensibles sin ser percibido. Como esta tecnología es muy común para video llamadas, pasa desapercibida en las usuarias generales y ahí su componente de ingeniería social.
 

¿Qué hacer? Interpretar señales y tomar acción

Aquí les compartimos algunos tips para empezar a cambiar la mirada que tenemos sobre nuestros dispositivos y estar más alertas sobre sus funcionamientos generales.

Uso de datos: para empezar es bueno prestar atención a las aplicaciones desconocidas y el uso excesivo de datos. Por ejemplo podemos encontrar un reloj y mirar que la alarma puede tener un uso excesivo de datos, ahí podemos dudar que sea una anomalía, un error, o encontrar un vestigio.

Podemos sospechar también de muchas autorizaciones de acceso para WiFi, para recibir SMS, acceso a tus cuentas. Todas esas cosas son bastante obvias y nos ayudarían a identificar algunas situaciones anómalas.

Está también la cuestión de mirar más de manera más general, a veces tenemos que investigar bien la aplicación para ver realmente de qué se trata y saber investigar eso y vamos a ver cómo hacer eso para identificar un vestigio.

Permisos de aplicaciones: normalmente van a pedir permisos, van a pedir muchos y sensibles, y si son administradores de dispositivos, normalmente esas aplicaciones van a querer tener privilegios dentro de tu dispositivo y en el celular. Tú puedes checar quiénes tienen permisos como administradores también en configuración de seguridad y cuentas vinculadas, si hay una cuenta desconocida vinculada a tu aparato, ahí hay algo raro.

Google Play Protect: es una señal que debes de checar y asegurarte que no esté desconectado sin que tu lo hayas hecho. Pero no es el único indicio para afirmar que haya espionaje.

Las notificaciones de seguridad también son importantes, porque esas aplicaciones invasivas van a tratar de no permitir que haya notificaciones, debemos estar atentas a las notificaciones porque ahí podemos detectar alguna cosa.

Parámetros: en general necesitamos tener parámetros por ejemplo: ¿cuál es el nivel de batería que es normal y cuál es excesivo? Para poder detectarlos, los permisos para instalar otras aplicaciones, cámara, micrófono, SMS y llamadas van a ser siempre los puntos más sensibles. Hay que ver cuáles apps son administradores, en Android por ejemplo tienes que checar si hay aplicaciones desconocidas con permiso de admin y como administradores. En iOS no hay un equivalente directo pero puedes checar los perfiles instalados en configuraciones generales para checar tu dispositivo o revisar configuraciones de seguridad.

Los servicios de accesibilidad: verificar cuáles aplicaciones tienen acceso y permisos en tu celular, por ejemplo la accesibilidad permite realizar acciones que el usuario común no tendría acceso. Por eso las apps procuran explorar esos espacios, porque a través de la accesibilidad pueden leer teclado para dar un servicio de accesibilidad. Entonces si en la app que tengo, la función no tiene nada ver con un servicio de accesibilidad podemos desconfiar: está solicitando una función que no requiere. La regla: si vemos autorizaciones extensivas pero si tú no conoces esa aplicación ya debes de desconfiar, pero siempre es necesario siempre investigar más.
 

¡Stalkerware parecido al phishing pero no iguales!

Hasta el momento no hay casos ampliamente documentados o reportados de stalkerware siendo instalado remotamente a través de phishing de manera directa, como ocurre con spywares más sofisticados como Pegasus. Generalmente, el stalkerware se instala físicamente en el dispositivo de la víctima por alguien con acceso al teléfono, como una pareja o ex-pareja, o a través de técnicas de ingeniería social, donde se induce a la víctima a instalar una aplicación maliciosa creyendo que es algo inofensivo.

El phishing puede ser utilizado para inducir a la víctima a descargar e instalar aplicaciones maliciosas, pero esto generalmente requiere que la víctima complete activamente el proceso de instalación, otorgando los permisos necesarios para que el stalkerware funcione. A diferencia de los spywares avanzados que pueden explotar vulnerabilidades para una instalación silenciosa, el stalkerware generalmente necesita una acción consciente por parte de la víctima, como hacer clic en un enlace y seguir las instrucciones de instalación.

“Un caso que atendí”, comparte Marla, “involucró el descubrimiento de una aplicación de acceso remoto instalada en el teléfono de una víctima sin su conocimiento. Esta aplicación permaneció en el dispositivo durante casi dos años, permitiendo que el atacante accediera a los datos de la víctima periódicamente. Después de una actualización en el dispositivo, la aplicación fue desconectada automáticamente, exponiendo el correo electrónico utilizado por el atacante. Aunque no encontramos pruebas claras de instalación remota, la posibilidad no fue completamente descartada. Sin embargo, considerando todas las circunstancias, la hipótesis más probable es que la aplicación se haya instalado físicamente”.

Otro caso que nos comparte involucró la instalación de una aplicación maliciosa a través de ingeniería social, donde el atacante se hizo pasar por un empleado del banco e indujo a la víctima a instalar la aplicación. Aunque en este caso el objetivo principal era el robo financiero, también ilustra cómo las aplicaciones maliciosas pueden ser instaladas sin el conocimiento de la víctima.

Ante estos escenarios, la mejor forma de protección contra stalkerware y otras amenazas es adoptar medidas preventivas:

  • Proteger el acceso físico a dispositivos y cuentas: evita dejar dispositivos sin supervisión, especialmente en situaciones de conflicto o ruptura de la relación.
  • Establecer acuerdos claros de privacidad y seguridad con las parejas: evitar la normalización del intercambio de accesos entre parejas es fundamental. Esto incluye la discusión abierta sobre la importancia de la privacidad y la intimidad.
  • Reconocer señales de comportamiento sospechoso en parejas o ex-parejas: algunas señales que pueden indicar monitoreo incluyen:
  • Mostrar un conocimiento inesperado sobre tus actividades o conversaciones privadas, sin que tú hayas compartido esa información.
  • Insistencia en tener acceso a tu teléfono o computadora, incluso después de la ruptura de la relación.
  • Comportamiento controlador, como exigir saber dónde estás en todo momento o con quién estás hablando.
  • Identificar señales técnicas de posible compromiso:
  • Aplicaciones desconocidas instaladas en el dispositivo: Revisa regularmente la lista de aplicaciones instaladas y desconfía de cualquier aplicación que no reconozcas.
  • Permisos excesivos otorgados a aplicaciones: Una aplicación de calculadora, por ejemplo, no debería necesitar acceso a tu micrófono o ubicación.
  • Notificaciones de seguridad inusuales: Presta atención a las notificaciones de seguridad del sistema que alertan sobre comportamientos sospechosos.
  • Dispositivos desconocidos conectados a tus cuentas: Verifica si hay dispositivos desconocidos conectados a tu cuenta de Google o Apple.
  • Consumo anormal de batería o sobrecalentamiento: Aunque estas señales pueden indicar problemas comunes, como fallos en el hardware o la antigüedad del dispositivo, también pueden ser indicativos de stalkerware, especialmente si aparecen de repente.

 

Cuidarnos en manada: ¿cómo hacerlo?

Desde la experiencia de IntersecLab se ofrece proporcionar soporte técnico y científico para fortalecer la protección de derechos humanos en el espacio digital y proteger las personas que sufren vigilancia. En este sentido, tienen soporte de análisis forense digital, investigación de dispositivos, aquellos sobre los que hay que sospechas de que están comprometidos con una vigilancia, que puede ser celular, pero no solamente el celular, también sucede en computadoras y redes dependiendo de cada caso.

“No es autodefensa, pero la defensa colectiva es la respuesta más importante o de manada, como lo llamamos. Para buscar la autonomía de América Latina y la del movimiento transfeminista y feminista acerca de esos temas tan sensibles y que exigen un enfoque con una perspectiva transfeminista, porque desgraciadamente el soporte que tenemos actualmente en ese sentido está liderado por hombres. Sí, y muchas personas no se sienten a gusto para compartir esos datos con ellos. Porque hablamos de datos sensibles. Y no es solamente una cuestión técnica, sino que son las vidas de las personas, son celulares personales o que mezclan lo personal con el activismo. Por eso procuramos pensar en las maneras de realizar ese trabajo, de tal manera que pueda elegir proteger otras áreas y no solamente la parte técnica, y no solo definir si está infectado, si no con base en quién está pasando por esta situación”.